基于文檔圖結(jié)構(gòu)的惡意PDF文檔檢測(cè)方法[通信與網(wǎng)絡(luò)][信息安全]

目前基于機(jī)器學(xué)習(xí)的惡意PDF文檔檢測(cè)方法依賴(lài)于專(zhuān)家經(jīng)驗(yàn)來(lái)遴選特征,無(wú)法全面反映文檔屬性。而且在面對(duì)對(duì)抗樣本時(shí),檢測(cè)器性能下降明顯。針對(duì)上述問(wèn)題,提出了一種基于文檔圖結(jié)構(gòu)和卷積神經(jīng)網(wǎng)絡(luò)的惡意PDF文檔檢測(cè)方法。該方法解析文檔結(jié)構(gòu),根據(jù)文檔中各對(duì)象之間的引用關(guān)系構(gòu)建出有向圖。然后,通過(guò)TF-IDF算法計(jì)算各節(jié)點(diǎn)對(duì)分類(lèi)的貢獻(xiàn)度來(lái)進(jìn)行圖結(jié)構(gòu)精簡(jiǎn)。最后,計(jì)算精簡(jiǎn)后圖的鄰接矩陣和度矩陣,并得到圖的拉普拉斯矩陣,以此作為特征送入CNN分類(lèi)模型進(jìn)行訓(xùn)練。同時(shí)還加入了對(duì)抗樣本,對(duì)模型進(jìn)行對(duì)抗訓(xùn)練。實(shí)驗(yàn)評(píng)估表明,在給定訓(xùn)練和測(cè)試樣本比例9:1條件下,不斷調(diào)整神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)和參數(shù),該方法的準(zhǔn)確率達(dá)到了99.71%,性能優(yōu)于KNN和SVM分類(lèi)模型。在針對(duì)對(duì)抗樣本的檢測(cè)上,與知名在線檢測(cè)網(wǎng)站VirusTotal上的67款殺毒引擎相比,該方法取得了更高的檢測(cè)性能。

發(fā)表于:11/17/2021 12:01:00 AM

SimMal:基于異構(gòu)圖學(xué)習(xí)的惡意軟件關(guān)聯(lián)分析系統(tǒng)[其他][信息安全]

隨著惡意軟件快速增長(zhǎng)和傳播,近年來(lái)網(wǎng)絡(luò)安全生態(tài)面臨極大威脅;同時(shí)不斷發(fā)展的攻擊技術(shù),可以繞過(guò)安全防御系統(tǒng)的分析檢測(cè),對(duì)網(wǎng)絡(luò)安全分析人員提出了新的挑戰(zhàn)。傳統(tǒng)的人工分析方式由于資源限制,即使借助自動(dòng)化工具也難以挖掘惡意軟件潛在的攻擊載體和技術(shù),發(fā)現(xiàn)惡意軟件之間的共性。設(shè)計(jì)了一種惡意軟件關(guān)聯(lián)分析系統(tǒng)SimMal,通過(guò)異構(gòu)圖的方式清晰地展示惡意軟件、惡意行為、攻擊技術(shù)和利用漏洞等多種維度間的關(guān)聯(lián);同時(shí)基于異構(gòu)圖表示學(xué)習(xí)算法預(yù)測(cè)惡意軟件關(guān)聯(lián)的惡意軟件家族和APT(高級(jí)持續(xù)威脅)組織,協(xié)助分析人員提前發(fā)現(xiàn)惡意軟件相關(guān)的風(fēng)險(xiǎn)和意圖并做出預(yù)先防御。該系統(tǒng)目前已應(yīng)用在現(xiàn)網(wǎng)真實(shí)的惡意軟件數(shù)據(jù)集上,實(shí)驗(yàn)結(jié)果驗(yàn)證了惡意軟件家族分類(lèi)和APT組織溯源分析的有效性。

發(fā)表于:11/16/2021 11:57:00 PM